Cybercriminalité : Protéger son système d’information

Protéger ses données et ses programmes contre une attaque

Des dizaines de formes de malware ou logiciels malveillants, en français, existent. Leurs auteurs sont soit des criminels qui ont ajouté de la diversification dans leurs activités dans le but de vous voler, soit des professionnels de grandes entreprises ou d’États dans des buts d’espionnage industriel ou politique.

Le pirate amateur a été relégué aux oubliettes de l’Histoire, tant les protections numériques se sont sophistiquées.

L’ANSSI, L’Agence Nationale de Sécurité des Systèmes d’Information, est l’autorité française en matière de protection des SI. Elle préconise 5 mesures à mettre en place en priorité, par les entreprises, les administrations, les associations et par les particuliers.

1 L’authentification renforcée

L’authentification renforcée par souvent par une double authentification.

Par une application va utiliser plusieurs moyens de vérifier que vous êtes bien autorisé à accéder au système d »information.

Cela passe par un profil et un mot de passe, un captcha, ainsi qu’un code envoyé par SMS ou dans un boîte-aux-lettres, une question dont la réponse n’est connue que de vous seul, ou encore une application sur votre smartphone dédié à la vérification, ou bien une carte numérique qui change de code toutes les dix secondes en harmonie avec le serveur à distance.

Bien entendu, tous les mots de passe et codes divers doivent être uniques pour chaque application et changés régulièrement pour déjouer les pirates qui utilisent des techniques comme la méthode Brute force qui consiste à tester toutes les combinaisons de caractères pour trouver les mots de passe.

2 Un supervision de la sécurité renforcée

Tous les points d’entrée vers votre système d’information doivent être placés sous surveillance, à la fois par des logiciels spécialisés et par des humains qui supervisent les résultats des analyses de ces logiciels.

Toute anomalie doit faire l’objet d’une vérification, pour découvrir si la tentative de pénétration dans le SI est le fait d’une erreur de saisie d’une personne habilitée ou d’une tentative d’intrusion pour nuire.

exemple de logiciels antivirus

Les antivirus font partie de ces logiciels.

3 Des sauvegardes renforcées

Sauvegarder ses programmes et ses données est un processus indispensable.

Il s’agit de dupliquer le système d’information sur des supports extérieurs, sur supports magnétiques amovibles, comme des disques durs externes, des clés USB, selon la quantité d’informations, ou encore des serveurs externes voire dans un espace virtuel sur internet.

Cette dernière recommandation est valable uniquement pour des données non-sensibles uniquement.

Les données sauvegardées sont alors stockées ailleurs que dans le système d’information principal, détachées. Elles sont conservées le temps nécessaire, en autant de supports que nécessaire à une éventuelle restauration.

Restaurer des informations consiste à remplacer celles du système principal, serveur interne ou externe, par celle de la sauvegarde, lorsqu’elles ont disparues ou ont été modifiées par une attaque.

Dans les organisations, sauvegarde et restauration doivent être testées régulièrement pour vérifier le bon fonctionnement de l’une et de l’autre sans attendre d’une véritable attaque. L’idée est de reconstruire système, programmes et données le plus vite possible après une attaque.

4 La criticité et les priorités renforcées

Plus une information est critique pour la survie et le bon fonctionnement du système d’information, plus elle sera prioritaire dans sa protection, dans les moyens mis en œuvre pour s’assurer que tout va bien.

Par exemple, la sauvegarde d’un logiciel que l’on peut se procurer à tout moment auprès d’un fournisseur a un sens dans la mesure où le paramétrage du logiciel est plus ou moins important. Cette sauvegarde sera à faire après chaque changement de paramètre pour avoir toujours la dernière version.

Cependant, ce sont les données qui sont quotidiennement, voire plusieurs fois par jour, à sauvegarder.

Les antivirus et autres logiciels de protection sont aussi à tenir à jour aussi souvent que possible, de façon à se protéger des derniers logiciels malveillants inventés par les hackers.

5 Un dispositif de crise renforcé

La formation et la sensibilisation du personnel interne et intervenants partenaires extérieurs doivent être régulièrement effectuées. L’être humain est le maillon faible de la chaîne de protection des systèmes d’information.

Selon l’urgence et le type d’attaque, les intervenants seront différents. De véritables partenaires avec des contrats, pour une organisation, à la simple localisation d’un dépanneur près de soi, pour un particulier. Tous les cas de figure existent.

La durée d’une intervention, le délai de remise en état d’un système d’information sont, avec la pérennité des intervenants, les principaux critères de choix d’un partenaire.

Bien entendu, un plan de reprise d’activité et un plan de continuité d’activité sont indispensables, coûteux et à tester régulièrement, sans compter une bonne police d’assurance.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Télétravail et cybersécurité : Que faire pour se protéger
Alerte au piratage 1/2
Passage de la douane avec un ordinateur 4/4 : Après le séjour

Indicateurs de sécurité Exemples
Loi n° 2006-64 du 25 mars 2007 sur la Conservation des données
Liste des risques de sécurité informatique

CLIQUEZ ICI POUR VISITER NOS ANNUAIRES DE L’EMPLOI

Activités dangereuses et prévention associée (Code du Travail Art. R.237-7 AL.1)

Activités dangereuses & prévention associée (Code du Travail Art. R.237-7 AL.1)

La loi définie les activités considérées comme dangereuses.
Les voici, avec les mesures de prévention à prendre pour éviter tout accident.

Que cette liste vous serve de check-list !

Selon les entreprises, certaines activités sont sans objet.

EPI = équipements individuels de protection

Phases d’activités dangereuses	Mesures de prévention
Accès au chantier & circulation		Sans objet
Parcours	Plan de circulation
Issues de secours	Consignes et plans d’évacuation
Stationnement	Accès au parking du site
Chargement/déchargement	Accès au quai de déchargement du site
Autre (préciser) :
Outillage portatif :		Sans objet
Perceuses, meuleuses, scies circulaires, …	Conformité du matériel
Chalumeau	Permis de feu
	Extincteur, RIA
	Vérification visuelle générale du matériel avant utilisation
Autre (préciser) :
Ambiance physique :		Sans objet
Bruit, poussière, éclairage, …	EPI : Masque, casque auditif, lunettes, …
Chaleur, froid, …	EPI : Vêtements de protection
Chocs, écrasement, coupures	EPI : Casque, chaussures de sécurité, gants de manutention, …
Humide, glissante	EPI : Chaussures antidérapantes
Risque sanitaire (hygiène)	EPI : Gants,, lunettes, blouse, local aéré
Risque d’asphyxie et/ou d’explosion	Dégazage, ARI, Travail en équipe, contrôle atmosphère
Travaux en hauteur	Échafaudage, plateforme élévatrice, …
Accès aux toitures, combles, …	EPI : Chaussures antidérapantes
Accès aux ateliers	Balisage
	Garde corps (filets, barrières, ligne d vie, harnais, …)
Autre (préciser) :
Utilisation de produits chimiques et/ou gaz		Sans objet
Inflammables	Interdiction de fumer
	Permis de feu
	Extincteurs
Nocifs, toxiques, irritants	EPI : Gants, lunettes, vêtements spéciaux
	Étiquetage des produits
Risque d’anoxie	Stockage adapté (rétentions, armoires spécifiques, quantité limitée au poste, …)
	Système de détection du taux d’ O2 ambiant
Autre (préciser) :
Manutention :		Sans objet
Palan, table élévatrice, monte-charge, …	Autorisation d’utilisation nominative
	Permis pontier
Chariot élévateur	Autorisation de conduite
Manuelle (charges lourdes)	EPI : Ceinture des maintiens des lombaires
	Chaussures de sécurité, gants, …
Autre (préciser) :
Raccordement ou intervention sur le réseau :		Sans objet
Gaz	Consignation
	Permis de feu
	Dégazage & Contrôle atmosphère
Autre (préciser) :
Électricité : Ligne enterrée	Consignation
Électricité : Ligne apparente	Habilitation électrique Symbole d’habilitation : hiv, B2, BR, BC
Électricité : Armoire électrique	Outillage adapté
Électricité : Sous tension	Schéma des installations électriques
	EPI : Lunettes, gants, chaussures, casque avec vision, … Le tout : isolants
Autre (préciser) :
Autres risques constatés lors de l’inspection préalable		Sans objet

De façon permanente, chaque entreprise se doit d’assurer :

• la conformité du matériel utilisé ;
• la formation et sensibilisation aux risques du personnel (et donc les habilitations requises).

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Travail du dimanche : que dit la loi
Faute grave : Définition juridique
Friday Wear ou Le vendredi relax

Kompetenz : la compétence allemande
Menace – Vulnérabilité – Risque
Smartphone : Autodestruction dans 5 secondes

Autres Juridique, Management et Sécurité :

Récapitulatif 14 Juridique
Récapitulatif 14 Management
Récapitulatif 14 Sécurité

Démission d’un salarié = fuite d’informations : Comment s’en prémunir

Les entreprises font-elles trop confiance dans leurs employés ?

Pour travailler, le salarié a besoin d’accéder, de manipuler et d’enrichir les données de l’entreprise.

Information copiée

Dans chaque service, à chaque poste de travail, chacun a besoin d’une partie des informations sur les produits et les services, les chiffres et les perspectives, les formules et autres recettes ou plans de fabrication, les données sur les employés, les clients et les fournisseurs, les partenaires et sous-traitants, etc.

La fuite d’information est une copie, totale ou partielle, des informations qu’un salarié effectue en dehors de l’entreprise à des fins personnelles. Lorsque ces informations sont transmises à un concurrent ou à un état, c’est de l’espionnage industriel, scientifique, économique.

Lorsque ces informations sont conservées par le salarié pour s’en servir lui-même, cela peut créer de la concurrence directe, une violation de brevet ou une alerte sur les pratiques et les personnes à l’intérieur de l’entreprise.

Il se peut aussi que les informations retenues par le salarié aient un impact mineur ou aucun impact sur l’entreprise elle-même, et qu’elles ne servent qu’à fournir des connaissances indirectes au salarié.
Par exemple, des méthodes de travail personnel, des formulaires vierges, l’art de faire de bonnes présentations, un lexique professionnel, un mode d’emploi de logiciels du marché, etc.

Ces informations forment une base de connaissances à partir d’informations issues de l’entreprise. Elles aident le salarié à progresser, sans compromettre la confidentialité et le respect dus à l’entreprise.

Comment empêcher une fuite d’information ?

De grosses sommes sont investies chaque année dans des systèmes de protection des données informatisées dans les entreprises.
Dans le meilleur des cas, l’accès aux données est contrôlé par des dispositifs physiques ou logiciels, qui identifie la personne ou la machine qui tente d’accéder aux données et en refuse ou en accorde l’accès.

Là où un intrus est repoussé, un salarié est autorisé. Il convient alors de restreindre son accès aux données dont il a besoin dans le cadre de son travail et uniquement ces informations-là.
Une alerte devrait retentir en cas de tentative d’accéder à des données autres que celles auxquelles il a droit.

Quant aux données mises à la disposition du salarié, les moyens de copies peuvent restreindre le risque de fuite : interdiction ou contrôle de l’usage de copieurs et d’imprimantes, traces de toutes les manipulations des données informatisées, interdiction ou contrôle de toutes les copies informatiques des données, sur disque dur, clés, Internet, etc.

Néanmoins, il reste toujours la possibilité au salarié d’effectuer des copies, dans le cadre de son travail.
De plus, il existe des informations de l’entreprise qui ne sont pas informatisées. Par exemple, les idées, les échanges verbaux, les réflexions sur un sujet précis.

La surveillance en entreprise est limitée. Les contrôles sont souvent inexistants ou mis en place au moment de la démission du salarié. Or celui-ci a tout le temps d’effectuer des copies d’information les jours ou les semaines qui ont précédé sa démission.

L’efficacité de tous les systèmes de protection des données est peu testée et mise en pratique.

Sensibilisation et engagement du salarié

La prévention du risque de fuite d’information passe par une sensibilisation du salarié, de son entretien d’embauche au jour de son départ. Régulièrement, une à deux fois par an, des rappels au respect des règles doivent avoir lieu.

Le salarié doit savoir ce qui encourt en cas de fuite. Il doit les connaître pour l’entreprise et pour lui-même. Il doit également participer activement à la prévention des fuites par d’autres salariés de son entourage professionnel à l’intérieur de l’entreprise.

L’entreprise doit disposer et mettre en place des règles de bon usage des informations.
La charte qui contient ces règles est à joindre au règlement intérieur de l’établissement. Ces règles font préalablement l’objet d’une information auprès des représentants du personnel et du personnel lui-même.

Toutes les règles doivent être lues et transmises aux salariés, directement ou par l’intermédiaire de panneaux d’affichage.

Le salarié doit s’engager, par écrit, avec date et signature, à respecter les règles de la charte du bon usage des informations, appelée souvent charte informatique lorsqu’elle ne contient que des règles concernant l’usage des données informatisées et des moyens informatiques.

Si un salarié refuse de signer, c’est comme s’il refusait d’appliquer le règlement intérieur de l’entreprise et peut alors être soumis aux mêmes sanctions.

Rappel : le règlement intérieur est déposé à l’inspection du travail, la charte l’est donc aussi. Chaque modification de l’un ou de l’autre implique de déposer la nouvelle version à l’inspection du travail.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Vol de documents légalisé ? Non, sauf
Évolution de l’informatique dans l’entreprise
Le Cloud computing : un nouveau business modèle pour réduire le TCO informatique
Télétravail : La Loi Warsmann adoptée le 29 février 2012

Licencié pour avoir cherché à effacer ses connexions sur des sites porno
Sauvegarde : Comment les données sont-elles sauvegardées ?
Filtrage Internet : Pas de brimade des salariés
Quelles sont les menaces qui pèsent sur une entreprise

Autres Informatique, Juridique, Management et Sécurité :

Récapitulatif 12 Informatique
Récapitulatif 12 Juridique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité

Telepoints : Pour connaître le nombre de points sur son permis de conduire

Le site Telepoints permet de connaître le nombre de points sur son permis de conduire

Le Ministère de l’Intérieur met à disposition du public le site telepoints pour permettre de connaître le nombre de points qui restent sur son permis de conduire.

Le permis à points

En France, chaque détenteur de permis dispose de 12 points, 6 points pour les débutants. Certaines infractions et délits sur la route sont sanctionnés par la perte de 1 à 6 points, selon leur importante.

Quand un automobiliste perd un ou plusieurs points, il reçoit un courrier de sa préfecture lui annonçant le nombre de points perdus. S’il récidive, il se peut qu’il ne sache plus où il en est dans son nombre de points, puisque des points lui sont restitués s’il n’en perd pas durant le délai légal ou suite à un stage de sensibilisation à la sécurité routière.

Une invitation à suivre ce stage est envoyé à l’automobiliste dès que la limite de 6 points est atteinte ou dépassée.

Quand le nombre de point atteint zéro. L’automobiliste est également informé par courriel postal et il a 10 jours pour le ramener à sa préfecture après réception de ce courrier.

Demande électronique avec Telepoints

Un identifiant est nécessaire :

• Depuis 2013, le code de consultation se trouve dans le document reçu en même temps que le permis électronique
• Avant 2013, le code est à demander à sa préfecture

Trois documents contiennent les éléments nécessaires pour remplir la demande en ligne :

1. Le relevé intégral du dossier de permis de conduire, délivré par la préfecture ou sous-préfecture raccordée par Internet au Système National des Permis de Conduire, ou
2. Une lettre référence 48 M, envoyée lorsque le nombre de points atteint ou dépasse 6, ou
3. Une lettre référence 48N, envoyée lorsque le nombre de points retirés atteint ou dépasse 3.

Autres moyens possibles

En présentant son permis de conduire et une preuve de son identité :

• Se rendre à la Préfecture et demander
• Écrire une lettre postale en recommandé avec accusé de réception, y joindre une enveloppe timbrée à son adresse pour recevoir la réponse

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Permis de conduire français : Le nouveau à partir du 16 septembre 2013
Barème des retraits de points du permis de conduire
Mon Chéri, pas au volant

Pneu hiver, pneu neige : Oui ou Non
Disque bleu européen OBLIGATOIRE dans les zones bleues de stationnement
Des radars aux feux en France

Autres Bien-être :

Récapitulatif 11 Bien-être
Récapitulatif 8 Bien-être